Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Forcepoint Email Security-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Forcepoint Email Security-Logs mit BindPlane in Google Security Operations aufnehmen. Der Parser extrahiert zuerst Felder aus den im JSON-Format vorliegenden Logs und initialisiert einige UDM-Felder mit leeren Werten. Anschließend werden die extrahierten Felder anhand bestimmter Bedingungen und Datenmanipulationen den entsprechenden Feldern in der Chronicle UDM-Struktur zugeordnet, um eine einheitliche Darstellung des E‑Mail-Sicherheitsereignisses zu erstellen.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Ein Windows 2016- oder Linux-Host mit systemd
Wenn Sie einen Proxy verwenden, müssen die Firewallports gemäß den Anforderungen des BindPlane-Agents geöffnet sein.
Privilegierter Zugriff auf die Forcepoint Email Security-Appliance oder die Verwaltungskonsole

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Erfassungsagent auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den BindPlane-Agenten auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Windows-Installation

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie den folgenden Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder sudo-Berechtigungen.

Führen Sie den folgenden Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie in dieser Installationsanleitung.
Alternative: Sie können auch den verwalteten Installationsworkflow von BindPlane OP für die zentrale Agentenverwaltung verwenden.

BindPlane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Auf die Konfigurationsdatei zugreifen:
- Suchen Sie die Datei config.yaml. Unter Linux befindet sie sich normalerweise im Verzeichnis /etc/bindplane-agent/ und unter Windows im Installationsverzeichnis.
- Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

Bearbeiten Sie die Datei config.yaml so:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'FORCEPOINT_EMAILSECURITY'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.
Ersetzen Sie <CUSTOMER_ID> durch die tatsächliche Kundennummer.
Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Dateipfad, in dem die Authentifizierungsdatei in Schritt 1 gespeichert wurde.

BindPlane-Agent neu starten, um die Änderungen zu übernehmen

Führen Sie den folgenden Befehl aus, um den BindPlane-Agenten unter Linux neu zu starten:
```
sudo systemctl restart observiq-otel-collector
```
Unter Windows können Sie den BindPlane-Agenten entweder über die Konsole Dienste neu starten oder den folgenden Befehl eingeben:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Syslog-Weiterleitung in Forcepoint Email Security konfigurieren

Melden Sie sich in der Forcepoint Email Security Management Console an.
Rufen Sie Einstellungen > Integrationen > SIEM-Integration auf.
Klicken Sie auf SIEM-Integration aktivieren.
Geben Sie die folgenden Konfigurationsdetails an:
- Format: Wählen Sie LEEF (Log Event Extended Format) aus.
- Syslog-Server: Geben Sie die IP-Adresse des BindPlane-Agenten ein.
- Syslog-Port: Geben Sie die Portnummer des BindPlane-Agenten ein, z. B. 514.
- Protokoll: Wählen Sie je nach Konfiguration des BindPlane-Agenten UDP oder TCP aus.
- Einrichtung: Wählen Sie den Syslog-Einrichtungscode aus, z. B. Local0.
- Schweregrad: Wählen Sie den Schweregrad für Logereignisse aus.
Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Aktion	security_result.action_details	Direkt aus dem Feld „Action“ (Aktion) im Rohlog zugeordnet.
AttachmentFilename	additional.fields.value.list_value.values.string_value (key: Attachments_FileNames)	Das Feld „AttachmentFilename“ (Dateiname des Anhangs) wird durch Kommas getrennt und jeder Wert wird als „string_value“ dem Array „additional.fields“ mit dem Schlüssel „Attachments_FileNames“ hinzugefügt.
AttachmentFileType	additional.fields.value.list_value.values.string_value (key: AttachmentsFileType)	Das Feld „AttachmentFileType“ (Dateityp des Anhangs) wird durch Kommas getrennt und jeder Wert wird als „string_value“ dem Array „additional.fields“ mit dem Schlüssel „AttachmentsFileType“ hinzugefügt.
AttachmentSize	additional.fields.value.list_value.values.string_value (key: AttachmentsSize)	Das Feld „AttachmentSize“ (Größe des Anhangs) wird durch Kommas getrennt und jeder Wert wird als „string_value“ dem Array „additional.fields“ mit dem Schlüssel „AttachmentsSize“ hinzugefügt.
DateTime		Im bereitgestellten UDM nicht zugeordnet.
EnvelopeSender	network.email.from	Direkt aus dem Feld „EnvelopeSender“ (Absender der E‑Mail) im Rohlog zugeordnet.
EventReceivedTime	metadata.event_timestamp	In ein Zeitstempelformat geparst und „metadata.event_timestamp“ zugeordnet.
FilteringReason	security_result.category_details	Direkt aus dem Feld „FilteringReason“ (Grund für die Filterung) im Rohlog zugeordnet.
MessageSandboxing	security_result.detection_fields.value (key: MessageSandboxing)	Direkt aus dem Feld „MessageSandboxing“ (Sandboxing der Nachricht) im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „security_result.detection_fields“ hinzugefügt.
MessageSize	security_result.detection_fields.value (key: MessageSize)	Direkt aus dem Feld „MessageSize“ (Größe der Nachricht) im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „security_result.detection_fields“ hinzugefügt.
nxlog_filename	additional.fields.value.string_value (key: nxlog_filename)	Direkt aus dem Feld „nxlog_filename“ (Dateiname des NXLog) im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „additional.fields“ hinzugefügt.
RecipientAddress	network.email.to	Direkt aus dem Feld „RecipientAddress“ (Adresse des Empfängers) im Rohlog zugeordnet.
SenderIP	principal.asset.ip, principal.ip	Direkt aus dem Feld „SenderIP“ (IP-Adresse des Absenders) im Rohlog zugeordnet.
SenderIPCountry	principal.location.country_or_region	Direkt aus dem Feld „SenderIPCountry“ (Land des Absenders) im Rohlog zugeordnet.
SourceModuleName	principal.resource.attribute.labels.value (key: SourceModuleName)	Direkt aus dem Feld „SourceModuleName“ (Name des Quellmoduls) im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „principal.resource.attribute.labels“ hinzugefügt.
SourceModuleType	principal.resource.attribute.labels.value (key: SourceModuleType)	Direkt aus dem Feld „SourceModuleType“ (Typ des Quellmoduls) im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „principal.resource.attribute.labels“ hinzugefügt.
SpamScore	security_result.detection_fields.value (key: SpamScore)	Direkt aus dem Feld „SpamScore“ (Spam-Score) im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „security_result.detection_fields“ hinzugefügt.
Betreff	network.email.subject	Direkt aus dem Feld „Subject“ (Betreff) im Rohlog zugeordnet.
VirusName	security_result.detection_fields.value (key: VirusName)	Direkt aus dem Feld „VirusName“ (Name des Virus) im Rohlog zugeordnet und als Schlüssel/Wert-Paar dem Array „security_result.detection_fields“ hinzugefügt.
	metadata.event_type	Der Wert wird anhand des Vorhandenseins anderer Felder bestimmt. Wenn „has_network_email_data“ auf „true“ gesetzt ist, wird der Wert auf „EMAIL_TRANSACTION“ gesetzt. Wenn „has_principal“ auf „true“ gesetzt ist, wird der Wert auf „STATUS_UPDATE“ gesetzt. Andernfalls wird standardmäßig „GENERIC_EVENT“ verwendet.
	metadata.product_name	Der Wert wird auf „FORCEPOINT EMAILSECURITY“ gesetzt.
	metadata.vendor_name	Der Wert wird auf „FORCEPOINT EMAILSECURITY“ gesetzt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten